กองทุน Core Infrastructure Initiative (CII) เกิดมาหลังบั๊ก Heartbleed เมื่อปีที่แล้ว โดยกองทุนจะสนับสนุนโครงการสำคัญๆ ด้านความปลอดภัยให้มีนักพัฒนามากเพียงพอ ตอนนี้กองทุนมีเงินค่อนข้างเหลือเฟือ โดยยอดล่าสุดอยู่ที่ 5.5 ล้านดอลลาร์ โดยบริษัทให้คำสัญญาว่าจะจ่ายเงินต่างกันไปในระยะเวลาสามปีข้างหน้า ตอนนี้ทางกองทุนก็เริ่มสนับสนุนโครงการใหม่ๆ เพิ่มเติม โดยรอบนี้ประกาศออกมาสามโครงการ
- การคอมไพล์ที่ทำซ้ำได้: สำหรับ Debian และ Fedora พยายามลดความแตกต่างระหว่างสภาพแวดล้อมที่ใช้คอมไพล์ในแต่ละครั้ง เพื่อให้ยืนยันได้ว่าไบนารีที่ได้มาจากซอร์สโค้ดที่ระบุเอาไว้จริง เพราะสามารถคอมไพล์เองเพื่อยืนยันซ้ำได้ โดรงการนี้ได้รับเงินทุน 200,000 ดอลลาร์
- The Fuzzing Project: โครงการค้นหาช่องโหว่ความปลอดภัยพัฒนาโดย Hanno Böck ที่พบช่องโหว่สำคัญหลายรายการใน GnuPG และ OpenSSL ทาง CII จ่ายเงิน 60,000 ดอลลาร์เพื่อให้ Böck ทำงานบนโครงการนี้ต่อไป
- False-Positive-Free Testing - จากบริษัท TrustInSoft จะพัฒนา tis-interpreter ช่วยค้นหาบั๊กโดยไม่มี false positive ทำให้นักพัฒนาทำงานได้ง่ายขึ้น ทาง CII ให้ทุนพัฒนา tis-interpreter ไป 192,000 ดอลลาร์ คาดว่าจะโอเพนซอร์สในต้นปี 2016
แนวทางของ CII นับว่าต่างจากการให้รางวัลจากบริษัทต่างๆ ที่มักให้รางวัลสำหรับการค้นพบช่องโหว่ แต่ CII ให้ทุนนักพัฒนาเพื่อหาทางอุดช่องโหว่ก่อนที่จะเกิดขึ้นในซอฟต์แวร์เลย ในอนาคตถ้าใครมีไอเดียอะไรแปลกๆ และน่าจะใช้งานได้จริงก็คงเขียนไปขอทุนกันได้
ที่มา - Linux Foundation
Comments
โดรงการ => โครงการ